Приложение 1. Положение об обработке и защите персональных данных в Департаменте экономического развития Вологодской области. Приказ Департамента экономического развития Вологодской области от 25.01.2017 N 021/17-о "Об утверждении Положения об обработке и защите персональных данных Департамента экономического развития Вологодской области" (с изменениями и дополнениями)

Приложение 1

Положение
об обработке и защите персональных данных в Департаменте экономического развития Вологодской области
(далее - Положение)
(утв. приказом Департамента от 25 января 2017 г. N 021/17-о)

1. Общие положения

1.1. Настоящее Положение разработано в соответствии с Федеральными законами от 27 июля 2006 г. N 152-ФЗ "О персональных данных", от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации", от 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации", от 6 декабря 2011 г. N 402-ФЗ "О бухгалтерском учете", от 20 августа 2004 г. N 113-ФЗ "О присяжных заседателях федеральных судов общей юрисдикции в Российской Федерации", Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, Указами Президента Российской Федерации от 30 мая 2005 г. N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела", от 7 сентября 2010 г. N 1099 "О мерах по совершенствованию государственной наградной системы Российской Федерации", постановлениями Правительства Российской Федерации от 27 ноября 2006 г. N 719 "Об утверждении Положения о воинском учете", от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", постановлением Губернатора области от 22 мая 2007 г. N 164 "Об утверждении положения о представлении лицом, замещающим государственную должность области (гражданином при решении вопроса о назначении на государственную должность области), должность государственной гражданской службы области (кандидатом на замещение должности государственной гражданской службы области), сведений о доходах, об имуществе и обязательствах имущественного характера, а также сведений о доходах, об имуществе и обязательствах имущественного характера своих супруга (супруги) и несовершеннолетних детей", постановлениями Правительства Вологодской области от 28 марта 2016 N 288 "О создании единой централизованной информационной системы бюджетного (бухгалтерского) учета и отчетности", от 1 апреля 2013 года N 339 "О реализации государственной программы "Поддержка и развитие малого и среднего предпринимательства в Вологодской области на 2013 - 2020 годы", от 28 января 2008 года N 100 "О реализации закона области "О государственных научных грантах Вологодской области"; приказом Департамента экономического развития области от 20 марта 2014 года N 64-о "Об утверждении Положения о Почетной Грамоте, Благодарности, Благодарственном письме Департамента экономического развития области".

1.2. Положение определяет правила обработки персональных данных в Департаменте экономического развития Вологодской области (далее - Департамент) и меры по обеспечению безопасности персональных данных.

1.3. В настоящем Положении используются понятия, применяемые в значениях, определенных в Федеральном законе от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных").

1.4. В Департаменте обрабатываются персональные данные лиц, претендующих на замещение должностей государственной гражданской службы области в Департаменте, лиц, замещающих должности государственной гражданской службы области в Департаменте, а также иных физических лиц, персональные данные которых представлены в Департамент (далее - субъекты персональных данных).

Перечень персональных данных, обрабатываемых в Департаменте в связи с реализацией служебных (трудовых) отношений, а также в связи с осуществлением государственных функций и оказанием государственных услуг, изложен в приложении 1 к настоящему Положению.

1.5. Обработка персональных данных в Департаменте осуществляется в целях реализации возложенных на Департамент полномочий, определяемых федеральными законами, Уставом области, иными нормативными правовыми актами области.

1.6. Персональные данные субъектов персональных данных являются сведениями конфиденциального характера (за исключением случаев, установленных федеральными законами), а в случаях, установленных федеральными законами и иными нормативными правовыми актами Российской Федерации, - сведениями, составляющими государственную тайну.

1.7. Департамент является оператором, поставщиком информации, организующим и осуществляющим обработку персональных данных. Функции оператора возлагаются на руководителей структурных подразделений Департамента, в которых обрабатываются персональные данные.

1.8. Обязанности по обработке персональных данных возлагаются на лиц, замещающих должности в Департаменте, в соответствии с утвержденным перечнем должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным.

Перечень должностей в Департаменте, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, изложен в приложении 2 к настоящему Положению.

Перечень помещений в Департаменте, в которых осуществляется обработка персональных данных либо осуществляется доступ к персональным данным, изложен в приложении 3 к настоящему Положению.

1.9. Оператор (должностные лица, осуществляющие обработку персональных данных) при обработке персональных данных обладает полномочиями и исполняет обязанности, установленные Федеральным законом "О персональных данных", Трудовым кодексом Российской Федерации, настоящим Положением и иными федеральными и областными нормативными правовыми актами.

1.10. Лица, непосредственно осуществляющие обработку персональных данных, в обязательном порядке под роспись знакомятся с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, настоящим Положением, локальными актами оператора по вопросам обработки персональных данных и документами, устанавливающими обязанности данных лиц по соблюдению требования конфиденциальности и безопасности персональных данных.

1.11. В случае попытки кого-либо получить от лиц, осуществляющих обработку персональных данных, сведения, являющиеся персональными данными, а также о причинах и условиях возможной утечки этих данных указанные лица обязаны сообщать непосредственному руководителю, как только им стало известно.

II. Порядок обработки персональных данных субъектов персональных данных

2.1. Определение объема, содержания и способа обработки персональных данных осуществляется в соответствии с заявленными целями и правовым основанием, определяющим их получение.

2.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если иное не предусмотрено сроком действия договора с субъектом персональных данных, сроком исковой давности, Приказом Минкультуры Российской Федерации от 25 августа 2010 г. N 558 "Об утверждении "Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения", иными нормативными правовыми актами. По достижении целей обработки персональных данных или в случае утраты необходимости в их достижении, а также по истечении срока хранения персональные данные подлежат уничтожению.

2.3. При обработке персональных данных лиц, претендующих на замещение должностей государственной гражданской службы области, соблюдаются требования, установленные статьей 86 Трудового кодекса Российской Федерации, пунктом 5 Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела, утвержденного Указом Президента Российской Федерации от 30 мая 2005 г. N 609, и иными федеральными нормативными правовыми актами.

2.3.1. Персональные данные в течение периода прохождения государственной гражданской службы обрабатываются старшим специалистом 1 разряда отдела финансирования, организационной, кадровой и правовой работы Департамента, на которого возложен функционал кадровой службы Департамента (далее - старшим специалистом 1 разряда), консультантами отдела финансирования, организационной, кадровой и правовой работы Департамента (далее - консультантами), главным специалистом отдела финансирования, организационной, кадровой и правовой работы Департамента (далее -главный специалист), начальником отдела финансирования, организационной, кадровой и правовой работы Департамента (далее - начальником отдела).

2.3.2. После прекращения служебного контракта (трудового договора) и освобождения лица от замещаемой должности его персональные данные, содержащиеся:

- на бумажных носителях, - хранятся у старшего специалиста 1 разряда три года, у начальника отдела - пять лет, после чего передаются в архив Департамента;

- в электронном виде, - хранятся у старшего специалиста 1 разряда три года, у начальника отдела в течение пяти лет, после чего подлежат уничтожению.

2.3.3. Персональные данные лиц, претендующих на замещение должностей государственной гражданской службы области, хранятся у старшего специалиста 1 разряда в течение трех лет со дня их получения, после чего подлежат уничтожению.

2.3.4. Персональные данные граждан, не допущенных к участию в конкурсе на замещение вакантных должностей государственной гражданской службы области в Департаменте, и в конкурсе по формированию кадрового резерва, а также граждан, участвовавших в конкурсах, но не прошедших конкурсный отбор, хранятся на бумажных носителях у старшего специалиста 1 разряда в течение трех лет после проведения конкурса, после чего подлежат уничтожению, если не возвращены по запросам граждан.

2.4. Обработка персональных данных иных физических лиц, представляемых в Департамент, осуществляется в соответствии с требованиями, установленными действующим законодательством и настоящим Положением.

2.4.1. Персональные данные обрабатываются в целях реализации полномочий Департамента, в том числе по рассмотрению обращений физических лиц, подготовке наградных документов и учета граждан, награжденных государственными наградами, наградами Губернатора области, наградами Департамента.

2.4.2. Обращения, содержащие персональные данные физических лиц, обрабатываются в Департаменте в течение срока рассмотрения обращений. В последующем указанные персональные данные:

- на бумажных носителях хранятся в течение пяти лет со дня рассмотрения обращения, после чего проводится экспертиза ценности документов должностными лицами, ответственными за ведение делопроизводства в Департаменте, по результатам которой составляются описи дел постоянного срока хранения и акты о выделении дел к уничтожению. Дела постоянного хранения передаются в архив Департамента;

- в специальном модуле в составе ГИС "Автоматизированная система электронного документооборота органов государственной исполнительной власти области".

2.4.3. Персональные данные граждан, связанные с подготовкой наградных документов и учета граждан, награжденных государственными наградами, наградами Губернатора области и наградами Департамента обрабатываются у старшего специалиста 1 разряда, консультанта управления отраслевого развития, науки и инноваций департамента. Бумажные носители, содержащие персональные данные граждан, хранятся в течение пяти лет со дня их получения, после чего передаются для хранения в архив Департамента. В электронном виде персональные данные по награждению граждан обрабатываются в течение срока подготовки наградных документов и в последующем хранятся в виде резервной копии в течение семидесяти пяти лет, после чего подлежат уничтожению.

2.4.4. Персональные данные, обрабатываемые в целях исполнения договоров и ведения расчетов с физическими лицами, обрабатываются начальником отдела Департамента в течение срока действия договора или ведения расчетов с физическими лицами, в последующем хранятся на бумажных носителях и в электронном виде в течение пяти лет, после чего подлежат уничтожению.

2.4.5. Персональные данные, обрабатываемые в целях оказания гражданам государственной поддержки в сфере развития предпринимательской деятельности, обрабатываются должностными лицами управления развития малого и среднего предпринимательства Департамента, в чьи должностные обязанности входит предоставление государственных услуг, в течение срока проведения конкурсного отбора, в последующем хранятся постоянно (уничтожению не подлежат) на бумажных носителях в помещении, в котором ведется обработка и хранение персональных данных, запирающемся на ключ.

2.4.6. Персональные данные, обрабатываемые в целях оказания гражданам государственной поддержки в сфере развития научной, научно-технической деятельности, обрабатываются должностными лицами управления отраслевого развития, науки и инноваций Департамента, в чьи должностные обязанности входит предоставление государственных услуг, в течение срока проведения конкурсного отбора, в последующем хранятся постоянно (уничтожению не подлежат) на бумажных носителях в помещении, в котором ведется обработка и хранение персональных данных, запирающемся на ключ.

2.5. В целях обеспечения защиты персональных данных, хранящихся у оператора, субъекты персональных данных имеют право на доступ к своим персональным данным, получение информации, касающейся обработки своих персональных данных, и обжалование действий (бездействия) оператора в соответствии с Федеральным законом "О персональных данных", Трудовым кодексом Российской Федерации и иными федеральными и областными нормативными правовыми актами.

2.6. При обработке персональных данных, осуществляемой без использования средств автоматизации, оператором выполняются требования, установленные постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

Обработка персональных данных, осуществляемая без использования средств автоматизации, производится таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

Хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях, производится раздельно.

2.7. Правила работы с обезличенными данными в Департаменте и перечень должностей в Департаменте, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, изложены соответственно в приложениях 4 и 5 к настоящему Положению.

2.8. Уничтожение персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание) или путем уничтожения материального носителя. Бумажные носители персональных данных уничтожаются путем сжигания или измельчения до степени, исключающей возможность прочтения текста.

2.9. Уничтожение персональных данных осуществляется комиссией Департамента на основании акта об уничтожении.

2.10. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными персональными данными.

III. Меры по обеспечению безопасности персональных данных при их обработке в Департаменте

3.1. Безопасность персональных данных достигается путем исключения неправомерного или случайного доступа к персональным данным, уничтожения, изменения, блокирования, копирования, распространения, предоставления, а также от иных неправомерных действий в отношении их.

3.2. Персональные данные субъектов персональных данных в Департаменте обрабатываются на бумажных и электронных носителях в специально предназначенных для этого помещениях, занимаемых специалистами Департаменте, осуществляющими деятельность по обработке персональных данных.

3.3. Обеспечение безопасности персональных данных при их обработке достигается путем принятия необходимых организационных и технических мер для их защиты, установленных статьей 19 Федерального закона "О персональных данных", разделом III Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687, а также иными федеральными нормативными правовыми актами. К организационным и техническим мерам защиты персональных данных относятся в том числе:

- определение мест хранения материальных носителей, содержащих персональные данные, соблюдение условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ;

- организация порядка уничтожения информации, содержащей персональные данные;

- обеспечение целостности программных средств информационной системы персональных данных, обрабатываемой информации, а также неизменности программной среды;

- соблюдение пользователями условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

- соблюдение пользователями порядка реагирования на инциденты и восстановления работоспособности информационных систем.

3.4. Не допускается обработка персональных данных в электронном виде при отсутствии:

- утвержденных организационно-технических документов, установленных нормативными правовыми актами в области защиты информации;

- настроенных средств защиты от несанкционированного доступа, средств антивирусной защиты, средств резервного копирования информации и других программных и технических средств в соответствии с требованиями по защите информации, установленными Правительством Российской Федерации, ФСТЭК России, ФСБ России.

IV. Доступ к персональным данным и информационным системам персональных данных

4.1. Доступ ко всем персональным данным, обрабатываемым в Департаменте, имеют лица, замещающие должности:

- заместитель начальника Департамента - в отношении персональных данных, необходимых начальнику Департамента;

- заместитель начальника Департамента; начальник управления развития малого и среднего предпринимательства Департамента - в отношении персональных данных, необходимых начальнику Департамента;

- начальник управления отраслевого развития, науки и инноваций Департамента - в отношении персональных данных, необходимых начальнику Департамента, заместителю начальника Департамента;

- начальник управления торговли Департамента - в отношении персональных данных, необходимых начальнику Департамента, заместителю начальника Департамента;

- начальник управления инвестиционной и внешнеэкономической деятельности Департаментом - в отношении персональных данных, необходимых начальнику Департамента, заместителю начальника Департамента;

- начальник отдела финансирования, организационной, кадровой и правовой работы Департамента - в отношении персональных данных, необходимых начальнику Департамента, заместителю начальника Департамента;

- консультант отдела финансирования, организационной, кадровой и правовой работы Департамента -в отношении персональных данных лиц, замещающих должности государственной гражданской службы области в Департаменте, в отношении персональных данных лиц, представляемых к награждению;

- главный специалист отдела финансирования, организационной, кадровой и правовой работы Департамента -в отношении ведения воинского учета и бронирования;

- старший специалист 1 разряда отдела финансирования, организационной, кадровой и правовой работы Департамента - в отношении персональных данных лиц, замещающих должности государственной гражданской службы области в Департаменте, в отношении персональных данных лиц, представляемых к награждению;

- старший специалист 1 разряда отдела финансирования, организационной, кадровой и правовой работы Департамента (специалист приемной) - в отношении персональных данных, необходимых начальнику Департамента.

4.2. Доступ к персональным данным претендентов на замещение должностей государственной гражданский службы области в Департаменте имеют:

руководители структурных подразделений Департамента - в отношении персональных данных претендентов на замещение должностей в соответствующих структурных подразделениях Департамента;

государственные гражданские служащие Департамента - в отношении персональных данных, обрабатываемых согласно должностному регламенту;

лица, входящие в состав соответствующих конкурсных комиссий, - в отношении претендентов, участвующих в конкурсе на замещение вакантных должностей гражданской службы и конкурсе по формированию кадрового резерва;

лица, входящие в состав соответствующих аттестационных комиссий, комиссий по соблюдению требований к служебному поведению и урегулированию конфликта интересов, иных комиссий, образуемых в соответствии с Федеральным законом от 27 июля 2004 года N 79-ФЗ "О государственной гражданской службе Российской Федерации", - в отношении рассматриваемых на соответствующих комиссиях персональных данных субъектов персональных данных.

4.3. Доступ к персональным данным лиц, замещающих должности государственной гражданской службы области в Департаменте, имеют:

- заместитель начальника Департамента - в отношении персональных данных, необходимых начальнику Департамента;

- заместитель начальника Департамента; начальник управления развития малого и среднего предпринимательства Департамента - в отношении персональных данных, необходимых начальнику Департамента;

- начальник управления отраслевого развития, науки и инноваций Департамента - в отношении персональных данных, необходимых начальнику Департамента, заместителю начальника Департамента;

- начальник управления торговли Департамента - в отношении персональных данных, необходимых начальнику Департамента, заместителю начальника Департамента;

- начальник управления инвестиционной и внешнеэкономической деятельности Департаментом - в отношении персональных данных, необходимых начальнику Департамента, заместителю начальника Департамента;

- начальник отдела финансирования, организационной, кадровой и правовой работы Департамента -в отношении персональных данных, обрабатываемых в связи с реализацией служебных отношений;

- консультант отдела финансирования, организационной, кадровой и правовой работы Департамента - в отношении персональных данных лиц, замещающих должности государственной гражданской службы области в Департаменте, в отношении персональных данных лиц, представляемых к награждению;

- главный специалист отдела финансирования, организационной, кадровой и правовой работы Департамента -в отношении ведения воинского учета и бронирования;

- старший специалист 1 разряда отдела финансирования, организационной, кадровой и правовой работы Департамента - в отношении персональных данных лиц, замещающих должности государственной гражданской службы области в Департаменте, в отношении персональных данных лиц, представляемых к награждению;

- старший специалист 1 разряда отдела финансирования, организационной, кадровой и правовой работы Департамента (специалист приемной) - в отношении персональных данных, необходимых начальнику Департамента;

- лица, входящие в состав аттестационной комиссии, комиссии по соблюдению требований к служебному поведению и урегулированию конфликта интересов, иных комиссий, образуемых в соответствии с Федеральным законом от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации", в отношении рассматриваемых на соответствующих комиссиях персональных данных субъектов персональных данных.

4.4. Доступ к персональным данным иных физических лиц, представляемым в Департамент, имеют:

государственные гражданские служащие структурных подразделений Департамента, на которые возложены функции по рассмотрению обращений граждан в соответствии с нормативными правовыми актами Губернатора области и Правительства области, Департамента, должностными регламентами.

4.5. Персональные данные могут предоставляться в соответствии с требованиями, установленными действующим законодательством и настоящим Положением.

4.6. Предоставление персональных данных субъектов персональных данных осуществляется лицам, которые в соответствии с пунктами 4.1 - 4.4 настоящего Положения имеют право доступа к персональным данным, по их запросу, либо в случае направления им для рассмотрения соответствующих обращений физических лиц, либо для выполнения своих должностных обязанностей по обработке персональных данных.

4.7. Лица, указанные в пункте 4.6. настоящего Положения, имеют право получать на ознакомление только те персональные данные, которые необходимы для выполнения конкретных функций, поручений, своих должностных обязанностей.

4.8. В случае обращения с запросом лица, не уполномоченного в соответствии с нормативными правовыми актами на получение персональных данных, либо отсутствия письменного согласия субъекта персональных данных на предоставление его персональных данных третьей стороне, либо отсутствия угрозы жизни и здоровью субъекта персональных данных оператор обязан отказать в предоставлении персональных данных. В этом случае лицу, обратившемуся с запросом, направляется письменный мотивированный отказ в предоставлении запрашиваемой информации в течение трех рабочих дней.

4.9. При передаче персональных данных оператор обязан предупредить в установленном порядке лиц, получающих персональные данные субъектов персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

4.10. При привлечении по договору к работам по обработке и (или) защите персональных данных сторонних юридических и (или) физических лиц обязательным условием допуска к проведению таких работ является подписание обязательства о неразглашении информации с лицами, проводящими работы.

4.11. Трансграничная передача персональных данных на территорию иностранных государств может осуществляться оператором в соответствии со статьей 12 Федерального закона "О персональных данных".

V. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований

5.1. Лицо, осуществляющее хранение персональных данных, выполняет систематический контроль и выделение документов, содержащих персональные данные, с истекшими сроками хранения, подлежащих уничтожению.

5.2. Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается на заседании комиссии по защите информации (далее - Комиссия), состав которой утверждается приказом Департамента.

По итогам заседания составляются протокол и Акт о выделении к уничтожению документов, опись уничтожаемых дел, проверяется их комплектность, акт подписывается председателем, членами Комиссии и утверждается начальником Департамента.

5.3. Уничтожение персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание), или путем уничтожения материального носителя. Бумажные носители персональных данных уничтожаются путем сжигания или измельчения до степени, исключающей возможность прочтения текста.

5.4. По окончании процедуры уничтожения Комиссией составляется соответствующий Акт об уничтожении документов, содержащих персональные данные (приложение 6).